Угрозы первой половины 2017 года

 Андрей БИРЮКОВ, ведущий эксперт по информационной безопасности, abiryukov@samag.ru

Угрозы первой половины 2017 года

Наблюдение за трендами атак и угроз позволяет заранее подготовиться, а возможно, и предотвратить ущерб. Посмотрим, какие угрозы были актуальны во втором квартале 2017 года

На сегодняшний день наиболее опасными в мире информационной безопасности можно назвать целевые атаки (APT) и сложные киберугрозы. По данным «Лаборатории Касперского», в период с апреля по июнь киберпреступники применили несколько новых и усовершенствованных старых инструментов, в том числе три эксплойта нулевого дня дляWindows. При этом данные инструменты использовали в своей деятельности русскоговорящие группировки Sofacy и Turla. Sofac. Основными целями этих атак были правительственные и политические организации в Европе. Группировка также была замечена в тестировании нескольких оригинальных инструментов на основе макросов вофисных документах. Наиболее примечательным из этих тестов стала атака на члена одной из французских политических партий перед национальными выборами во Франции.

Рассматривая географию хакерских группировок, стоит отметить, что в период с апреля по июнь этого года наиболее активно проявили себя кибершпионские группировки, говорящие на русском, английском, китайском и корейском языках, а также группы, действующие на Ближнем Востоке. Столь широкий разброс подтверждает тезис о том, чтокиберпреступность идет по пути глобализации, атакуя цели по всему миру.

WannaCry и ExPetr

Во втором квартале все мы стали свидетелями (а многие, возможно, и потерпевшими) двух атак мирового масштаба: WannaCry и ExPetr. Эти атаки совершенно разные как по своей сути, так и по преследуемым целям.

Зловред WannaCry распространялся очень быстро – более 45 000 заражений за одни сутки (Европол позже заявил, что число жертв WannaCry, по его оценкам, составило не менее 200000 человек). При этом наибольшее число атак наблюдалось в России, также пострадали пользователи на Украине, в Индии, на Тайване и еще в 74 странах.

Причиной столь быстрого распространения WannaCry стала незакрытая администраторами Windows-систем уязвимость, закрытая обновлением безопасности MS17-010. Данное обновление Microsoft выпустила за месяц до начала атаки. Зловред использовал Windows-эксплойт EternalBlue. Многие организации так и не установили обновление безопасности, так что злоумышленники смогли получить удаленный доступ к их корпоративным системам и ко всем непропатченным компьютерам в сети. Как и любой шифровальщик, WannaCry шифрует файлы на зараженном компьютере и требует выкуп за их расшифровку. При этом размер выкупа менялся от $300 до $600.

Однако эксперты «ЛК», проанализировав код WannaCry, пришли к выводу, что качество кода низкое, разработчики допустили много ошибок, из-за чего многие зараженные пользователи смогли самостоятельно восстановить зашифрованные данные.

При этом исследователям удалось выяснить, что Wanna-Cry в процессе работы пытается установить соединение с определенным сайтом. Если это не удается, зловред продолжает работу, если же подключение успешно, WannaCry прекращает работу. После того как британский исследователь зарегистрировал домен и перенаправил все запросы к нему на такназываемый sinkhole-сервер, используемый зловредом, распространение вымогателя существенно замедлилось.

Какая именно хакерская группировка причастна к WannaCry, остается загадкой. Однако ряд экспертов, в том числе «Лаборатория Касперского», нашли сходство фрагментов кода изWannaCry и вредоносного кода Lazarus, появившегося примерно в то же время. Однако делать какие-то выводы и утверждать, что WannaCry является детищем группы Lazarus, слишком рано.

Зловред ExPetr (также известен, как Petya, Petrwrap и NotPetya), появившийся в конце июня, был нацелен в первую очередь на компании на Украине, в России и Европе. Общее числожертв составило около двух тысяч.

По своей сути, ExPetr – это видоизмененная версия уже упоминавшегося эксплойта EternalBlue и еще одного эксплойта, опубликованного группой Shadow Brokers и получившего название EternalRomance. Шифровальщик распространялся под видом обновлений к M.E.Doc – программе для электронного документооборота украинского производства. После активации в сети жертвы зловред c помощью специальных инструментов извлекает учетные данные из процесса lsass.exe и передает их инструментам PsExec или WMIC, которые далее распространяют их внутри сети. Затем NotPetya выжидает от 10 минут до часа, видимо, чтобы обмануть антивирус, после чего перезагружает компьютер, шифрует таблицу MFT и файлы в NTFS-разделах. В завершении зловред перезаписывает главную загрузочную запись кастомным загрузчиком, который содержит требование выкупа. За ключ расшифровки злоумышленники просили аналог $300 в биткоинах, при этом выкуп следовало отправить на единый bitcoin-счет. Злоумышленники просили жертв для подтверждения оплаты отправлять номера кошельков по адресу электронной почты wowsmith123456@posteo.net, который был оперативно отключен, что существенно ограничило возможности заработка для злоумышленников. При этом стоит отметить, что, по мнению экспертов «ЛК», даже в случае выплаты выкупа злоумышленники не смогут расшифровать файлыжертвы.

Также 27 июня, одновременно с ExPetr, через обновления к M.E.Doc распространялся еще один вымогатель, названный FakeCry, атаковавший преимущественно организации натерритории Украины. Несмотря на сходство интерфейса и сообщений FakeCry и WannaCry, вымогатели принадлежат к совершенно разным семействам. Эксперты не могут дать однозначный ответ, связаны ли между собой FakeCry и ExPetr, на это может указывать тот факт, что оба зловреда распространялись в одно время через обновления к M.E.Doc.

Подводя итог, стоит отметить, что WannaCry и ExPetr оказались одинаково неэффективными с точки зрения вымогательства. Экспертный анализ позволяет предположить, чтовредоносная активность была начата злоумышленниками до того, как был полностью дописан код. Это в свою очередь наводит на мысль, что настоящей целью атак было уничтожение данных, а не получение денег. Учитывая размер ущерба, причиненного компаниям по всему миру, эксперты «Лаборатории Касперского» не исключают, что WannaCry иExPetr станут лишь началом нового тренда в мире киберпреступности.

Исследуем APT

Теперь поговорим о сложных целевых атаках, которые также имели место во втором квартале этого года. В качестве примера рассмотрим деятельность хакерской группировки Lazarus. Данная группа в феврале 2016 года смогла перевести со счетов Центрального банка Бангладеш 81 миллион долларов. Это крупнейшее и наиболее успешное кибер-ограбление на сегодняшний день. Также в активе Lazarus атака на Sony Pictures в 2014-м и атаки на промышленные компании, СМИ и финансовые учреждения в 18 странах по всему миру.

Исследовав проведенные данной группировкой атаки на финансовые учреждения в Европе и Юго-Восточной Азии, эксперты «ЛК» смогли установить некоторые методы работы группы Lazarus. Первоначальная компрометация обычно происходит при взломе одного компьютера банковской сети – это либо компрометация корпоративного сервера, либо атака типа watering hole – заражение кодом эксплойта легитимного веб-сайта, к которому обращаются сотрудники целевой организации. Затем злоумышленники заражают другие хосты вкорпоративной сети организации и запускают на зараженных компьютерах элементарный бэкдор. После этого в течение некоторого времени (нескольких дней или даже недель) киберпреступники выявляют ценные ресурсы в сети организации. И, наконец, они разворачивают специальное вредоносное ПО для обхода средств внутренней безопасности ипроведения фальшивых банковских транзакций.

Несмотря на то что Lazarus прикладывает значительные усилия для сокрытия преступной активности, экспертам удалось обнаружить и обследовать командный сервер, ранее использованный данной группой.

В результате обследования было выявлено, что атакующий подключился к нему через службы Terminal Services, вручную установил сервер Apache Tomcat, используя локальный браузер, сконфигурировал его при помощи Java Server Pages (JSP) и загрузил JSP-скрипт для командного сервера. Когда сервер был готов, атакующий начал его тестировать сначала спомощью браузера, а потом запуская тестовые экземпляры своего бэкдора. Злоумышленник использовал различные IP-адреса – от Франции до Южной Кореи – и подсоединялся через прокси- и VPN-серверы. При этом одно короткое соединение было выполнено из очень необычного диапазона IP-адресов, который соотносится с Северной Кореей.

После этого злоумышленник установил стандартное ПО для майнинга криптовалюты Monero – это ПО так интенсивно расходовало системные ресурсы, что система переставала отвечать и зависала. Возможно, по этой причине система не была должным образом очищена, и на нем сохранились журналы сервера.

Привязка к Северной Корее, безусловно, интересна, но из этого нельзя сделать вывод, что за всеми атаками группы стоит Северная Корея – обращение к командному серверу ссеверокорейского IP-адреса могло быть случайным либо намеренной инсценировкой в целях дезориентации.

Хищения из банкоматов

На прошедшей в этом году конференции Security Analyst Summit исследователи «Лаборатории Касперского» представили несколько случаев кражи денег из банкоматов.

В первом случае зловред ATMitch компрометировал банковскую инфраструктуру и получал удаленный контроль над работой банкоматов. Злоумышленники проникали на серверы банка, эксплуатируя незакрытую уязвимость. Далее они заражали компьютеры в банковской сети, используя публично доступные инструменты. При этом их вредоносное ПОсуществовало только в оперативной памяти компьютеров и не сохранялось на жесткие диски, так что при перезагрузке компьютера практически все его следы терялись. После заражения злоумышленники устанавливали соединение с командным сервером и получали возможность удаленно устанавливать на банкоматах вредоносное ПО. Защитные механизмы при этом не срабатывали, поскольку действия маскировались под обновление ПО банкоматов. После установки зловред искал в системе банкомата файл command.txt, содержащий управляющие устройством односимвольные команды. Далее он «определял», сколько денег находится в банкомате, а затем давал команду на выдачу денег, которые забирал ожидающий у банкомата человек, так называемый мул. После этого зловред записывал всю информацию об операции в файл регистрации и полностью удалял содержимое файла command.txt.

Беспокойство сотрудников банка вызвало наличие на банкоматах одного-единственного файла kl.txt. Специалисты «ЛК», к которым обратились представители банка, начали расследование инцидента. С помощью YARA-правила для поиска этого файла по системам «ЛК» специалисты обнаружили, что он попадал в их поле зрение дважды – один раз вРоссии и один раз в Казахстане. Произведя анализ зловреда методом обратного инжиниринга, эксперты вскрыли общие механизмы проведения атаки.

Банкомат-призрак

В другой атаке из банкомата пропадали деньги, при этом журналы банкомата были чисты, а данные камеры видеонаблюдения оказались перезаписаны. Банк предоставил специалистам «Лаборатории Касперского» банкомат для исследования. В нем был обнаружен Bluetooth-адаптер, подсоединенный к USB-концентратору банкомата. После егоустановки злоумышленники выждали три месяца (чтобы журнал банкомата перезаписался), вернулись, закрыли видеокамеры, при помощи Bluetooth-клавиатуры перезапустили банкомат в сервисном режиме и забрали из диспенсера деньги.

Метод грубой силы

В еще одной атаке преступники действовали гораздо грубее: в банкомате обнаружилось отверстие около 4 см в диаметре, проделанное около клавиатуры. Специалистам «ЛК» были известные и другие подобные атаки на банкоматы в России и Европе. Ситуация прояснилась, когда полиция задержала подозреваемого с ноутбуком и какими-то проводами. Для того чтобы выяснить, к чему злоумышленник пытался получить доступ через отверстие, специалисты вскрыли банкомат и обнаружили 10-штыревой разъем, подсоединенный к шине, которая связывает все компоненты банкомата. При этом было выявлено, что система шифрования слабая и легко может быть взломана. Получив доступ к любому компоненту банкомата, можно было легко контролировать все остальные, а поскольку никакой авторизации между компонентами не было, то любой из них легко можно было подменить.

Специалисты «ЛК» собрали простую схему, которая после подсоединения к шине позволила контролировать банкомат, в т.ч. отдавать команды на выдачу денег.

Стоит отметить, что, по словам исследователей, решить эту проблему не так-то просто – нужно поменять аппаратное обеспечение, а это нельзя проделать удаленно. То есть, чтобы провести такую замену, ко всем таким банкоматам должен выехать обслуживающий персонал.

Опасный IoT

Интернет вещей (IoT-устройства) все чаще привлекает внимание хакеров. В качестве примера можно привести ботнет Mirai, который в 2016 году блокировал работу определенного сегмента интернета, заразив и взяв под контроль такие домашние устройства, как видеорегистраторы, камеры видеонаблюдения и принтеры.

Другой зловред Hajime заражает небезопасные IoT-устройства с открытыми Telnet-портами и стандартными паролями. Hajime представляет собой огромный P2P-бот, состоящий более чем из 300 000 устройств. Зловред постоянно развивается, добавляются новые функции, исчезают старые. Однако экспертам не совсем ясна цель создания ботнета, так как досих пор он не участвовал во вредоносной деятельности. С другой стороны, даже если бот не используется специально для нанесения вреда, он может тормозить нормальную работу зараженного устройства.

Hajime использует нежелание пользователей «умных» гаджетов менять логин и пароль, установленные производителем. Это значительно облегчает задачу злоумышленникам – им нужно лишь попробовать получить доступ к устройству, используя известный пароль по умолчанию. Кроме того, для многих устройств не выпускаются обновления прошивки. И, наконец, IoT-устройства привлекают киберпреступников, поскольку они чаще всего круглосуточно включены и соединены к интернету.

Угнать за 60 секунд

На конференции Security Analyst Summit эксперт по кибербезопасности Джонатан Андерссон продемонстрировал, как умелый злоумышленник может за секунды создать устройство для угона дрона. С помощью программно-определяемого радио, джойстика от дрона, микрокомпьютера и небольшого количества прочей электроники исследователь собрал устройство, которому дал имя Icarus («Икар»). С его помощью Андерссон настроился на частоту дрона и выяснил детали передачи сигналов между этим дроном и его пультом управления. По мнению эксперта, эта угроза может затронуть всю индустрию дронов – от дешевых игрушек до дорогих профессиональных моделей, потому что все они используют протоколы обмена данными, уязвимые к одному и тому же типу атак. Проблему могло бы решить усиление шифрования, но реализовать такое на практике сложно из-за того, что намногих пультах обновить прошивку невозможно. Кроме того, усиленное шифрование потребует значительных вычислительных мощностей и вызовет дополнительный расход энергии как контроллером, так и дроном.

Угроза взлома дронов может показаться экзотикой. Однако же сами дроны уже выходят из своей узкой ниши и начинают использоваться массово. В декабре прошлого года платформа онлайн-торговли Amazon пробовала использовать дроны для доставки посылок покупателям. Также об экспертиментах с использованием летающих роботов в целях инкассации сообщал Сбербанк [2].

Успехи защитников

После прочтения статьи может сложиться впечатление, что киберпреступники наступают по всем фронтам, захватывая сотни тысяч пользовательских устройств в свои бот-сети, шифруя данные и похищая деньги у банков. Однако и борцы с киберпреступностью также добились успехов.

Одним из наиболее значительных можно считать подробное исследование хакерского тулкита Gray Lambert. Это самый продвинутый на данный момент набор инструментов кибергруппировки Lamberts, которая специализируется на шпионаже, – применяемые ею методы и тактики были описаны в архиве Vault 7, опубликованном Wikileaks. В результате анализа были обнаружены два новых семейства вредоносного программног обеспечения, а исследователям удалось проследить эволюцию атак этой группы за последние 10 лет. Кроме того, исследования вредоносных кодов и APT, проводимые экспертами ИБ по всему миру, позволяют постоянно совершенствовать средства защиты, предотвращая новые, более мощные атаки.

1. Пресс-релиз «Лаборатории Касперского» – https://www.kaspersky.ru/about/press-releases/2017_how-targeted-attacks-developed-in-q2-of-2017.
2. Доставка денег беспилотником – http://www.rbc.ru/technology_and_media/16/06/2017/594391f79a79478a62a8409f.

Комментарии могут оставлять только зарегистрированные пользователи